基于kNN算法的流量智能化模型在醫院信息系統安全運維管理中的應用

王澤川，馬存寧，劉玉泉，袁雪，胡欣，王杰，曹新志

江蘇省中西醫結合醫院 信息中心，江蘇 南京 210028

引言

近年來醫院信息化發展日新月異，由中國醫院協會信息專業委員會發布的《中國醫院信息化狀況調查報告》[1]顯示，大部分醫院已經實現了信息化對醫院核心業務和運營管理的全覆蓋，信息系統已經成為整個醫院運行、管理、臨床服務不可缺少的支撐[2]。信息化建設對于提高診療服務效率、減少運行成本、降低資源浪費和提升醫療服務質量發揮了重大作用[3]。

隨著互聯網、移動終端和手機應用程序等技術興起，醫院可達到診前、診中、診后的連續性服務。但醫療信息化發展在造福居民的同時，也面臨著新的安全風險[4]。在信息系統成為醫院運行的重要支撐之后，不論是硬件設備的自然故障，還是軟件業務系統的天生缺陷；無論是外部黑客等不法人員的惡意攻擊，還是內部運維人員的無心疏忽；無論是安全管理制度的不足，還是安全支撐能力的欠缺，都會對業務系統的連續性、穩定性和數據的安全性等造成嚴重損失，甚至會引發醫院重大的安全事件[5]。

以往的業務監控主要依賴于實時的流量監控，通過在核心交換或匯聚交換中旁路方式采集流量，分析時延、流速等來判斷業務運行情況[6]，但可能存在如下問題：① 流量數據只能反映業務不穩定的底層因素變化，如時延，但無法確認具體問題；② 只能對持續造成業務影響的問題點監測和排查，無法對短暫造成業務影響的因素做定位；③ 只有時延、流速、丟包等因素，相對缺少引起這些因素的更上層行為記錄，無法快速找到問題根因；④ 缺少安全因素的融合考慮，無法預知安全帶來的影響程度；⑤ 問題排查后沒有形成行為模型沉淀，每次發生問題都得重新分析，缺少歷史經驗的快速匹配和問題自主定位。

本文以流量質量維度、應用行為維度、安全維度為一體，構建整體持續的業務穩定監測體系，對造成業務影響的流量、行為、安全等特征持續建模和評估。借助k最鄰近（k-Nearest Neighbor，kNN）算法以及人工智能（Artificial Intelligence，AI）分析技術[7-8]，在未出安全問題時，通過特征建模可以對網絡設備、安全設備做配置預防，如制定更為合理的流控、訪問策略；在出現問題時根據歷史模型能夠快速判定，無需大量人為分析，快速發現和處置問題[9-11]。

1 模型構建

在監測到業務穩定性問題出現或潛在風險特征出現后，自動利用AI模型深度分析，識別造成業務影響的根本原因，并梳理出業務影響的傳遞和邊際效應，且能夠將解析結果列為實時特征并打上標簽，納入樣本庫，持續自我學習和進化，與不同的使用環境自動貼合。

1.1 模型選取的特征維度

模型選取的特征維度可以從網絡流量、系統業務和安全三個方面入手。基于流量的特征建模是常見的網絡異常行為檢測技術，主要是對網絡資源傳輸過程中時延、流速、丟包等情況加以識別；模型選取也可通過系統業務訪問成功率、訪問應用的頻率、訪問業務的客戶端IP等情況進行；模型選取還可基于網絡的安全狀況，如對業務及主機發起或被發起安全風險行為。

1.2 模型架構

1.2.1 流程啟動、數據采集和特征提取

如圖1所示，系統啟動時自動加載AI模型，數據采集通過數據流量采集探針，采集流量數據提取出來后分析和整理為可分析的格式。特征提取是根據流量采集數據按照特征維度提取的實時特征數據形成的特征組。

圖1 模型的業務流程

1.2.2 時延閾值

由用戶在頁面上自主設定認為業務異常的時延閾值作為判斷的基線指數。如圖2所示，時延統計是通過交換機鏡像引流，做流量提取和還原，記錄TCP協議流量每個連接的每個數據包時間戳，根據數據包逐個地確認字符的標識匹配度，利用請求和返回的數據包時間戳來計算時間差進而得出時延。

圖2 時延統計

1.2.3 邏輯判斷

（1）如果實時時延超出時延閾值，將提取的特征組與已有的AI模型深度分析，找出對時延影響最大的關鍵特征，從而找出引起業務不穩定的主因，找到問題點，打印告警信息，并描述出問題分析結果。包括但不限于使用kNN等機器學習算法，使用歷史流量提取特征維度信息，通過人工打標簽或自學習的方式對樣本分類從而建立模型庫，用于判斷業務異常受哪類特征影響最大，從而快速定位問題。

以kNN算法為例進行說明，kNN是把測量不同特征值之間的距離進行分類，將實時流量數據特征與AI模型中對應的特征進行相互比對，找到AI模型中與之最為吻合的前k個數據，則該測試數據對應的類別就是k個數據中出現次數最多的那個分類。相似性用距離表示，可使用包括但不限于歐式距離、曼哈頓距離等距離計算公式，以歐式距離公式舉例，見公式(1)。

式中，d為不同特征值之間的距離，k為事件的序號數，X為該事件在某特征值坐標系中的橫坐標，Y為該事件在某特征值坐標系中的縱坐標。

以圖3中符號舉例，不代表全部。當k=3時，取與新特征值最為相似（距離最近）的3個點（圖3的內圓），其中3個點中A類占比為2/3，則綠色圓屬于A類，說明是因為業務突發造成業務不穩定；當k=5時，取與新特征值最為相似（距離最近）的5個點（圖3的外圓），其中5個點中B類占比3/5，則綠色圓屬于B類，說明是因為安全事件造成業務不穩定。k值根據實際數據分布情況進行調整。

圖3 AI模型

（2）如果實時時延未超出時延閾值，判斷特征中是否有出現安全事件，如果出現安全事件則與已有的AI模型深度分析，識別該類型安全事件對業務穩定性造成影響程度的分析及可能的后果，從而提前感知業務后續風險，打印預警信息，并描述出影響分析結果。

圖4說明安全事件分析是通過對交換機鏡像引流出的流量進行提取和還原，分別根據規則庫、安全閾值[如分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊的包數、會話數等]、基于攻擊特征的機器學習算法和大數據分析建模，得出安全事件分析結果[12-13]。

圖4 安全事件分析

1.2.4 樣本庫訓練和模型自學習

樣本庫的訓練是基于歷史流量樣本的特征分析，持續構建流量、行為、安全的三維一體模型。模型自學習是將特征組加入到樣本庫，通過樣本庫的持續擴大和無監督學習，自主修正和完善AI模型，從而適應不同環境的需求。

2 結果

基于以上技術原理開發了一套大數據分析模型，并展開了實際效果驗證，詳見圖5。

圖5 實踐部署

2.1 環境部署

模擬實際生產環境下的醫院信息系統，并將訪問數據流接入到檢測探針，然后經過初步預處理后發送到智能分析系統進行效果驗證。

2.2 模型設定

首先對歷史流量提取所有業務訪問異常的特征維度信息，為方便測試效果，本文提取并設定了三個類別，即DDoS攻擊導致的業務訪問異常、網絡環路導致的訪問丟包、生產環境系統設置的并發數限制導致的業務訪問異常；然后，基于提取的標簽特征信息和算法形成分析模型，添加到大數據分析平臺；最后，鏡像流量識別歸類所有的異常情況，根據kNN算法，每個數據進來后進行相似性計算，找出相似和偏離的值，取場景相似度最高的標簽，打印預警信息并描述出影響分析結果。

2.3 實踐效果

測試中模擬了DDoS攻擊，將模型中的流量安全閾值設置為800 Mbps，持續時長設置為5 min。在實際測試中，攻擊流量從100 Mbps不斷提升到800 Mbps，在當天15:21之前，采用短時高峰流量（持續時長小于3 min）進行測試，未提示告警；在15:21之后，采用長時間的峰值流量（800 Mbps左右）進行測試，模型從15:27開始報警。同步記錄了該DDoS攻擊閾值場景下，應用系統的訪問也存在Web頁面不能及時打開的情況，佐證了分析結果的正確性（圖6）。

圖6 DDoS攻擊模擬檢測結果

測試中模擬了網絡環路的情況，通過探針對網絡中的流量進行監測分析，對每個端口未知名單播、組播報文和廣播報文進行統計，當連續輪詢超過3次，則判定為該端口異常，進行相應的告警。在模型中模擬了三次環路，模型均準確報警。同步記錄該場景下的應用系統訪問情況，存在Web頁面不能及時打開的情況，佐證了分析結果的正確性（圖7）。

圖7 環路模擬檢測結果（發現有環路警告）

測試中模擬了并發數據限制的情況，將測試業務的上限并發連接數（最大為5）作為閾值輸入模型，在測試過程中對業務建立的并發連接數進行監測。模擬三次短時并發訪問，模型均在達到最大限制時準確報警。同步記錄該場景下的應用系統訪問情況，存在Web頁面不能及時打開的情況，佐證了分析結果的正確性（圖8）。

圖8 并發連接模擬檢測結果

3 討論

網絡流量檢測是網絡及安全領域研究的重要內容之一，網絡流量異常是指對正常的網絡使用造成不良影響的網絡流量模式，如網絡中常見的外來惡意攻擊、錯誤的網絡配置、網絡故障和網絡資源的耗盡等[14]。隨著大數據技術的發展與成熟，運用大數據解決網絡流量異常檢測成為一種趨勢，大量的網絡流量信息通過科學的分類方法分析過濾出異常信息，加入樣本庫完善特征模型，當異常流量數據超出人工處理范圍時，利用大數據AI平臺可及時有效分析異常原因，做出相應的處理。

DDoS攻擊利用大量合法的分布式服務器對目標發送請求，從而導致正常合法的用戶無法獲得服務，這是一種常見的、低成本且有效的攻擊手段。隨著機器學習算法的快速發展，決策樹、隨機森林、kNN等算法逐漸被用于DDoS攻擊網絡流量的識別與檢測[15-17]，本文通過kNN算法對網絡流量異常進行特征提取與選擇，并根據選擇的特征對網絡中的流量進行檢測分類，通過模擬實驗證明該方法對DDoS攻擊具有較好的識別效果。

環路會出現在互聯網的各個層面，不同環路的出現原因與解決方法也不同。通常網絡環路分為第二層環路和第三層環路，所有環路的形成都是由目的路徑不明確導致混亂而造成的。二層環路主要是交換機廣播流的惡性循環，三層環路較為復雜，通常由各種網絡故障導致[18]。環路可造成一部分的數據包在網絡中不停地傳播，浪費帶寬，造成流量異常，本文基于kNN算法對環路造成的帶寬異常進行識別與檢測，通過現實的模擬實驗出現預警信息。

隨著全民健康信息化的全面推進，信息化已經覆蓋到醫院的方方面面，醫院信息化經歷了以財務、收費管理為核心的初級應用，到以患者為主線，貫穿整個診療過程的服務流程管理，再到全面系統地服務于醫院管理、決策、運營，經歷了一個不斷發展創新的過程，對醫院的支撐作用越來越明顯。與此同時，醫院的高效運營同樣越來越依賴各種信息系統的健康運行[19-20]。在這之中，醫院信息系統的連續性、穩定性和醫療數據的安全性尤為重要和關鍵。

目前市場上有一些產品可以提供對硬件平臺負載情況的監控以及對各安全設備日志進行搜集并告警的能力，如網絡綜合運維平臺、安全管理平臺類產品等，但都無法對高并發訪問、網絡波動、新型網絡攻擊進行有效的監測和告警。究其原因，是諸如網絡綜合運維平臺更多關注網絡設備、服務器、虛擬機、中間件等網絡節點的運行狀態，對其上運營的業務應用運行情況少有監測和管理；而安全管理平臺的核心功能主要是收集各類網絡設備的日志，尤其是安全日志，以期發現更多的安全事件，為用戶提供更多的告警。但由于國內設備廠商標準不一，安全管理平臺無法很好解決多誤報的問題，其使用效果還需要進行長期的市場驗證[21-22]。以上兩類產品都無法對業務層面的訪問狀態進行健康監測，為用戶提供的價值有限。

kNN算法是一種非參、惰性的算法模型，相比于其他算法，其不需要參數，不需要對數據做出任何假設，比較符合業務訪問過程中的實際情況，簡單易用，訓練時間快，預測效果好。但由于kNN算法存儲了所有訓練數據，因而內存的開銷較大，并且對不相關的功能和數據規模比較敏感，因此已有很多學者對kNN算法進行改良[23]。

本研究基于kNN分類算法和自學習技術，構建了一種實時監測模型，可以對造成業務影響的流量、行為、安全等特征持續建模和評估，并在實際測試中本模型可有效檢出DDoS攻擊、網絡環路、并發數據限制，為醫院信息化系統穩定性監測提供了一定的理論基礎和實踐。